Описание Маскируемся под виртуалку [fakevm]


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Sosyal-Medyada-Güvende-Miyiz-940x470.jpg
Где-то в треде на форуме упоминал комментарий юзера с Хабра. Суть его была в том, что большое количество вредоносов имеет на борту функции антивиртуалки, антидебага и т.д. То есть во избежание изучения, малварь тупо не запускается на виртуальных машинах, крашится в ольке или же к примеру не отрабатывает при наличии в системе определённых процессов софта от Руссиновича. И было выдвинуто предложение, а что если эту фишку зловредов использовать против них самих же. Навтыкать фейковых процессов, ключей реестра, определённых служб в реальную систему (в общем всех признаков по которым малварь и проверяет окружающую среду в которой её запускают). Мысль понятна? В итоге комментарий потонул под грудой других коммов и развития не получил.
Сейчас наткнулся на статью в одном бложеке, где чел написал пруф-концепт подобного

Это обычный скрипт на питоне с помощью которого можно замаскировать реальную систему под Vbox или VMware. Аверы пока не особо торопятся взять эту фичу на вооружение. Блогер упомянул лишь который имеет эту функцию, а так же который включает в себя и фейковые признаки наличия Olly Debugger.
Полная статья
Не рекомендуется использовать вышеописанное на рабочей системе. Это же пруф-концепт как никак..

Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии?

p.s. В дополнение к тексту выше -
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
 

The First

:)
Форумчанин
Регистрация
19.08.2013
Сообщения
154
Репутация
50
Очень интересная тема, так сказать последний рубеж защиты. А появилось ли что-нибудь в этом направлении для рабочей системы?
 

asar

Пользователь
Форумчанин
Регистрация
23.02.2019
Сообщения
13
Репутация
2
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
Я считаю облако не очень надежной защитой, кто отменял блэклист у малвари для блокировки различными способами, а вот что касается темы очень интересно
 
Верх Низ